DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Tamaño: px
Comenzar la demostración a partir de la página:

Download "DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN"

Transcripción

1 DECLARACIÓN DE APLICABILIDAD SISTEMA DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACION RESPONSABILIDAD Y AUTORIDAD REVISADO POR: LEIDA MARIA RAMIREZ GIL SUBGERENTE GENERAL FECHA 30/10/2014 APROBADO POR: GERARDO GARCIA LONDOÑO GERENTE GENERAL 30/10/2014 Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 1 de 23

2 1. TABLA DE MODIFICACIONES En este documento se realizaron cambios. Por favor léalos y aplíquelos. Verifique que esté utilizando la última Versión correspondiente a la última revisión. Nº VERSIÓN MODIFIC FECHA MODIFICAC MODIFICACIONES 2 01/07/08 Ajustar la declaración de aplicabilidad de acuerdo al os lineamientos del procedimiento de elaboración y control de documentos GD-P /07/08 Incluir dentro de la declaración de aplicabilidad los controles operativos y la justificación. 3 18/08/2009 Se realizó una verificación de la aplicación de los controles y un ajuste a las justificaciones de los controles. 3 28/07/2011 Se generalizó la carta de aplicabilidad. Se incluyó en control /04/2013 Se adiciono el control A relacionado con el Control de acceso al código fuente de los programas. 5 30/10/ /01/2015 Se actualizó la carta de aplicabilidad de acuerdo a la nueva versión de la ISO 27001:2013 Se adiciona a la declaración de aplicabilidad los siguientes controles: 60. A SEPARACION DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y OPERACIÓN. 85. A PRINCIPIOS DE CONSTRUCCIÓN DE LOS SISTEMAS SEGUROS 89. A PRUEBAS DE ACEPTACIÓN DE SISTEMAS 90. A PROTECCIÓN DE DATOS DE PRUEBA 93. A CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN 106. A DISPONIBILIDAD DE INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 2 de 23

3 LA GERENCIA GENERAL Se compromete a cumplir con el mantenimiento, sostenibilidad y aplicabilidad del Sistema de Gestión de la Información SGSI, junto con sus políticas y procedimientos definidos para Proteger los recursos de información de la Empresa y la tecnología utilizada para su procesamiento, frente a amenazas, internas o externas, deliberadas o accidentales, con el fin de asegurar el cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad de la información. Asegurar la implementación de las medidas de seguridad establecidas en la Política de Seguridad de la Información, identificando los recursos correspondientes, para mantener la Política de Seguridad de la Compañía actualizada, a efectos de asegurar su vigencia y nivel de eficacia. El Área de Auditoria Interna, o en su defecto quien sea propuesto por la Alta Gerencia es responsable de practicar auditorias periódicas sobre los sistemas y actividades vinculadas con la tecnología de información, debiendo informar sobre el cumplimiento de las especificaciones y medidas de seguridad de la información establecidas por esta Política y por las normas, procedimientos y prácticas que de ella surjan. Todos los colaboradores requieren entender las políticas de seguridad de la información y la violación a las políticas de seguridad, estándares y procedimientos tendrá una acción correctiva. Las acciones disciplinarias deben ser consistentes con la severidad del incidente. GERARDO GARCIA LONDOÑO GERENTE GENERAL Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 3 de 23

4 OBJETIVOS DE CONTROL CONTROLES APLICABILIDAD JUSTIFICACIÓN A.5 POLITICAS DE A 5.1 ORIENTACIÓN DE LA DIRECCIÓN PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN A POLÍTICAS PARA LA SEGURIDAD DE LA INFORMACIÓN A REVISIÓN DE LAS POLITICAS PARA LA A.6 ORGANIZACIÓN DE LA A ROLES Y RESPONSABILIDADES PARA LA A 6.1 ORGANIZACIÓN A INTERNA SEPARACIÓN DE DEBERES A CONTACTO CON LAS AUTORIDADES 1 SI 2 SI 3 SI 4 SI 5 SI La organización ha identificado los riesgos de información, en tal sentido es necesario establecer una política de seguridad de la información para informar y concientizar a todos los colaboradores y partes interesadas sobre los riesgos a los que están expuestos, así como los controles implementados para evitar la materialización de estos riesgos. Igualmente la política de seguridad de la información deberá definir claramente responsables de su desarrollo e implementación. La política de seguridad de la información de la compañía deberá ser frecuentemente revisada para asegurar su idoneidad con respecto a los riesgos de información. Está política debe ser comunicada a todas las partes interesadas. La organización mediante su política de seguridad de la información debe establecer el compromiso, organización y asignación de responsabilidades para su cumplimiento, de igual forma velar por mantener protegido su información mediante la revisión del sistema de gestión Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 4 de 23

5 A CONTACTO CON GRUPOS DE INTERÉS ESPECIAL A EN LA GESTIÓN DE PROYECTOS. 6 SI 7 SI de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. A POLÍTICA PARA DISPOSITIVOS MÓVILES 8 SI La organización restringe la conexión a las redes inalámbricas de internet por parte de los dispositivos móviles y equipos de terceros. A 6.2 DISPOSITIVOS MÓVILES Y TELETRABAJO A TELETRABAJO 9 NO De acuerdo con lo establecido en la Ley 1221 de 2008 la organización no cuenta con Teletrabajo, el cual es una forma de organización laboral, que consiste en el desempeño de actividades remuneradas o prestación de servicios a terceros utilizando como soporte las tecnologías de la información y la comunicación TIC para el contacto entre el trabajador y la empresa, sin requerirse la presencia física del trabajador en un sitio específico de trabajo. A.7 SEGURIDAD DE LOS RECURSOS HUMANOS A 7.1 ANTES DE ASUMIR EL EMPLEO A SELECCIÓN 10 SI Para el desarrollo de las actividades de Consultoría e Interventoría la organización requiere contratar personal, los cuales tienen acceso a la información de la compañía, por tanto es importante implementar controles basándose en los Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 5 de 23

6 A 7.2 DURANTE LA EJECUCIÓN DEL EMPLEO A 7.3 TERMINACIÓN Y CAMBIO DE EMPLEO A TÉRMINOS Y CONDICIONES DEL EMPLEO A RESPONSABILIDADES DE LA DIRECCIÓN A TOMA DE CONCIENCIA, EDUCACIÓN, Y FORMACIÓN EN S.I. A PROCESO DISCIPLINARIO A7.3.1 TERMINACIÓN O CAMBIO DE RESPONSABILIDADES DE EMPLEO 11 SI 12 SI 13 SI 14 SI 15 SI reglamentos, la ética y las leyes pertinentes, que aseguren un proceso de verificación de antecedentes, asignación de roles y responsabilidades, términos de contratación y condiciones laborales previo acceso a la información. El personal de la organización en el desarrollo de las actividades para las cuales fueron contratados interactúan permanentemente con la información, en tal sentido es necesario establecer controles para asegurar que son conscientes de los riesgos, responsabilidades y deberes con respecto a seguridad de la información, igualmente es necesario capacitar y concienciar al personal permanentemente en temas de seguridad de la información según sea pertinente para sus funciones laborales. También se hace preciso establecer un proceso disciplinario que permita a la organización saber cómo actuar en caso de que los colaboradores cometan alguna violación de la seguridad, sin embargo para evitar al máximo que se presente incidentes la dirección exigirá a los colaboradores el cumplimiento de las políticas y procedimientos establecidos. La organización desarrolla proyectos en el área de Consultoría e Interventoría los cuales tienen un inicio y fin, por esta razón es necesario establecer controles que permitan asegurar la devolución de los activos de la organización y el retiro o cambio de los derechos de acceso cuando se presentan renuncias, terminaciones o Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 6 de 23

7 cambios de la contratación del personal que conforman los diferentes proyectos o áreas transversales de la organización. A.8 GESTION DE ACTIVOS A 8.1 RESPONSABILIDAD POR LOS ACTIVOS A 8.2 CLASIFICACIÓN DE LA INFORMACIÓN A INVENTARIO DE ACTIVOS A PROPIEDAD DE LOS ACTIVOS A USO ACEPTABLE DE LOS ACTIVOS A DEVOLUCIÓN DE LOS ACTIVOS A CLASIFICACIÓN DE LA INFORMACIÓN 16 SI 17 SI 18 SI 19 SI 20 SI La organización dentro del proceso de implementación y mantenimiento del sistema de gestión de seguridad de la información debe realizar un inventario de todos sus activos de información, los cuales le permiten desarrollar su labor de Consultoría e Interventoría, en tal sentido es importante identificar los propietarios de estos, realizar un inventario de los más importantes, y también garantizar el uso adecuado de los mismos a través de reglas documentadas e implementadas. Los activos de la organización deberán ser regresados por los colaboradores al finalizar su relación contractual. La organización debe asegurar la devolución de los activos cuando se presentan renuncias, terminaciones o cambios de la contratación del personal que conforman los diferentes proyectos o áreas transversales de la organización. La compañía en sus actividades de Consultoría e Interventoría tiene información de diferentes tipos, la cual tiene diferentes niveles de importancia y Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 7 de 23

8 A 8.3 MANEJO DE MEDIOS A.9 CONTROL DE ACCESO A ETIQUETADO DE LA INFORMACIÓN A MANEJO DE ACTIVOS A GESTIÓN DE MEDIOS REMOVIBLES 21 SI 22 SI 23 SI A DISPOSICIÓN DE LOS MEDIOS 24 SI A TRANSFERENCIA DE MEDIOS FÍSICOS. 25 SI protección, por ejemplo la información de licitaciones o financiera no tiene la misma protección que la información de la ejecución de los proyectos, por lo anterior se deben implementar controles y procedimientos que permitan dar a la información de la empresa el nivel adecuado de protección, etiquetado y manejo con base en la clasificación de información que se utilice, tomando en cuenta su valor, los requisitos legales, la sensibilidad y la importancia para la organización. Para el desarrollo de las actividades de Consultoría e Interventoría se utilizan medios para el intercambio de información, tales como correo electrónico empresarial, servicios de mensajería, USB, CD, entre otros por lo anterior es necesario establecer controles para asegurar la que se eviten eventos como divulgación, modificación, retiro o destrucción de información no autorizada. A 9.1 REQUISITOS DEL NEGOCIO PARA CONTROL DE ACCESO A POLÍTICA DE CONTROL DE ACCESO 26 SI A SI La organización desarrolla actividades de Consultoría e Interventoría dentro de las cuales los activos de información son manejados por los colaboradores, en tal sentido es importante establecer controles de seguridad que permitan asegurar que los propietarios de activos de información controlan el acceso a la información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 8 de 23

9 A 9.2 GESTIÓN DE ACCESO DE USUARIOS A 9.3 RESPONSABILIDADES DE LOS USUARIOS ACCESO A REDES Y A SERVICIOS EN RED A REGISTRO Y CANCELACIÓN DEL REGISTRO DE USUARIOS A SUMINSITRO DE ACCESO DE USUARIOS A GESTIÓN DE DERECHOS DE ACCESO PRIVILEGIADO A GESTIÓN DE LA INF. DE AUTENTICACIÓN SECRETA DE USUARIOS A REVISIÓN DE LOS DERECHOS DE ACCESO DE USUARIOS A RETIRO O AJUSTE DE LOS DERECHOS DE ACCESO. A USO DE INFORMACIÓN DE AUTENTICACIÓN SECRETA 28 SI 29 SI 30 SI 31 SI 32 SI 33 SI 34 SI La organización para su operación cuenta con una red LAN única la cual soporta las actividades de los diferentes usuarios, por lo tanto es necesario establecer controles de seguridad para asegurar que los usuarios solo tienen acceso a los servicios para los cuales están autorizados. El personal de la compañía maneja diferentes tipos de información de acuerdo al área o proyecto en el cual participan, por esta razón es muy importante gestionar de forma adecuada el acceso de los usuarios de acuerdo al área o proyecto. En tal sentido es importante establecer controles de seguridad aseguren el acceso de usuarios autorizados así como evitar el acceso de usuarios no autorizados a información fuera de su área o proyecto. El personal de la compañía maneja para acceder a los servicios de red un usuario único e intransferible al cual se le asignan las respectivas credenciales, las cuales se deben actualizar cada treinta (30 (días). Lo anterior aplica para los usuarios ubicados en la Sede Principal de la Compañía. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 9 de 23

10 A 9.4 CONTROL DE ACCESO A SISTEMAS Y APLICACIONES A RESTRICCIÓN DE ACCESO A LA INFORMACIÓN A PROCEDIMIENTO DE INGRESO SEGURO. A SISTEMA DE GESTIÓN DE CONTRASEÑAS. A USO DE PROGRAMAS UTILITARIOS PRIVILEGIADOS. 35 SI 36 SI 37 SI 38 SI El personal de la compañía maneja para acceder a los servicios de red un usuario único e intransferible al cual se le asignan las respectivas credenciales, las cuales se deben actualizar cada treinta (30 (días). Lo anterior aplica para los usuarios ubicados en la Sede Principal de la Compañía. A CONTROL DE ACCESO A CODIGOS FUENTE DE PROGRAMAS. 39 SI A. 10 CRIPTOGRAFIA A 10.1 CONTROLES CRIPTOGRAFICOS A POLÍTICA SOBRE USO DE CONTROLES CRIPTOGRÁFICOS A GESTIÓN DE LLAVES 40 SI 41 SI La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. A. 11 SEGURIDAD FISICA Y DEL ENTORNO A 11.1 Á A PERÍMETRO DE SEGURIDAD FÍSICA 42 SI La organización para el desarrollo de sus actividades cuenta con una infraestructura Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 10 de 23

11 REAS SEGURAS A CONTROLES DE ACCESO FÍSICOS A SEGURIDAD DE OFICINAS, RECINTOS E INSTALACIONES A PROTECCIÓN CONTRA AMENAZAS EXTERNAS Y AMBIENTALES A TRABAJO EN ÁREAS SEGURAS A ÁREAS DE DESPACHO Y CARGA 43 SI 44 SI 45 SI 46 SI 47 NO física, ubicada el sector central de la ciudad, en la cual se ubican los activos de información, en tal sentido es importante establecer los controles de seguridad para evitar el acceso físico no autorizado, el daño a la infraestructura y activos de información de la compañía. La infraestructura física que la organización utiliza para el desarrollo de sus actividades de Consultoría e Interventoría no cuenta con áreas de carga o despacho, el edificio solo tiene una entrada principal con su respectiva recepción; por tal razón no es necesario establecer controles de seguridad para proteger las áreas de despacho o carga. A 11.2 EQUIPOS A UBICACIÓN Y PROTECCION DE LOS EQUIPOS A SERVICIOS DE SUMINSITRO A SEGURIDAD EN EL CABLEADO A MANTENIMIENTO DE EQUIPOS 48 SI 49 SI 50 SI 51 SI Para el desarrollo de las actividades de Interventoría y Consultoría la organización utiliza equipos tales como servidores, computadores de escritorio, portátiles, impresoras, fotocopiadoras, faxes, escáneres, entre otros, en estos equipos se procesa la información de los diferentes proyectos y de la empresa por tal razón es necesario establecer controles que permitan evitar la ocurrencia de eventos como pérdida, daño, robo o interrupción de los equipos tanto dentro como fuera de la organización. A RETIRO DE ACTIVOS 52 SI Para el desarrollo de las actividades de Consultoría e Interventoría la organización utiliza equipos tales como servidores, Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 11 de 23

12 A.12 SEGURIDAD DE LAS OPERACIONES A SEGURIDAD DE EQUIPOS Y ACTIVOS FUERA DE LAS INSTALACIONES A DISPOSICIÓN SEGURA O REUTILIZACIÓN DE EQUIPOS A EQUIPOS DE USUARIO DESATENDIDO A POLÍTICA DE ESCRITORIO LIMPIO Y PANTALLA LIMPIA. 53 SI 54 SI 55 SI 56 SI computadores de escritorio, portátiles, impresoras, fotocopiadoras, faxes, escáneres, entre otros, en estos equipos se procesa la información de los diferentes proyectos y de la empresa por tal razón es necesario establecer controles que permitan evitar la ocurrencia de eventos como pérdida, daño, robo o interrupción de los equipos tanto dentro como fuera de la organización. El personal de la organización es responsable de los activos de información que se encuentran a su cargo, así como de la protección de estos activos en cuanto confidencialidad, integridad y disponibilidad, de tal forma que se han definido responsabilidades claras en cuanto a seguridad de la información en los manuales de funciones que son entregados al personal, en tal sentido es necesario establecer controles de seguridad para asegurar que se evita el acceso de usuarios no autorizados y el robo de información. A 12.1 PROCEDIMIENTOS OPERACIONALES Y RESPONSABILIDADES A PROCEDIMIENTOS DE OPERACIÓN DOCUMENTADOS A GESTIÓN DE CAMBIOS A GESTIÓN DE CAPACIDAD 57 SI 58 SI 59 SI La compañía para el desarrollo de sus actividades de Interventoría y consultoría utiliza herramientas ofimáticas y tecnológicas, con las cuales interactúan permanentemente el personal a través de los equipos asignados para su labor, en tal sentido es necesario establecer controles de seguridad que garanticen que todos los cambios se controlan, revisan y someten a pruebas para no comprometer la seguridad Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 12 de 23

13 del sistema ni el entorno operativo y también evitar así la fuga de información. A 12.2 PROTECCION CONTRA CODIGOS MALICIOSOS A 12.3 COPIAS DE RESPALDO A SEPARACION DE LOS AMBIENTES DE DESARROLLO, PRUEBAS Y OPERACIÓN. A CONTROLES CONTRA CÓDIGOS MALICIOSOS A RESPALDO DE LA INFORMACIÓN 60 SI SI SI La organización realiza antes de la instalación de software pruebas en ambientes diferentes a los de producción con el fin de reducir los riesgos de acceso y cambios no autorizados. Para el desarrollo de las actividades de la organización se utilizan servicios como Internet, medios extraíbles, los cuales pueden afectar el correcto funcionamiento de activos de información como equipos, software entre otros, por lo tanto es importante establecer controles de seguridad que permitan detección y prevención de la acción de códigos maliciosos así como también procedimientos de concientización de los usuarios. La información de la empresa y de los diferentes proyectos se encuentra ubicada en los equipos asignados a los colaboradores así como en el servidor de archivos, en tal sentido es importante establecer controles de seguridad que aseguren la ejecución de procedimientos de backup y recuperación que permitan restaurar en el menor tiempo la información ante la materialización de un riesgo, y así permitir que la empresa continué con sus actividades habituales sin ningún inconveniente. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 13 de 23

14 A 12.4 REGISTRO Y SEGUIMIENTO A REGISTRO DE EVENTOS A PROTECCIÓN DE LA INFORMACIÓN DE REGISTRO A REGISTROS DEL ADMINSITRADOR Y DEL OPERADOR A SINCRONIZACIÓN DE RELOJES 63 SI 64 SI 65 SI 66 SI La compañía para el desarrollo de sus actividades cuenta con colaboradores que tienen acceso a los diferentes activos de información para la ejecución de sus actividades, en tal sentido es importante establecer controles de seguridad que permitan la detección oportuna de actividades de procesamiento de información no autorizadas y herramientas para investigaciones futuras de incidentes de seguridad de la información. A 12.5 CONTROL DE SOFTWARE OPERACIONAL A 12.6 GESTION DE LA VULNERABILIDAD TÉCNICA A INSTALACIÓN DE SOFTWARE EN SISTEMAS OPERATIVOS A GESTIÓN DE LAS VULNERABILIDADES TÉCNICAS A RESTRICCIÓN SOBRE LA INSTALACION DE SOFWARE 67 SI SI SI La organización para el desarrollo de sus actividades utiliza diferentes sistemas operativos tales como, WINDOWS 2008 y 2012 SERVER, WINDOWS 7 y versiones en adelante, en tal sentido es importante establecer controles de seguridad para garantizar la protección, control y correcta operación de los sistemas operativos. De igual forma para los equipos asignados a los Usuarios se restringe la posibilidad de instalación de programas y/o aplicativos. La compañía tiene activos de información tecnológicos los cuales están expuestos a vulnerabilidades de tipo técnico, por lo tanto es necesario establecer controles de seguridad para garantizar la reducción de los riesgos derivados de las vulnerabilidades técnicas. La organización para el desarrollo de sus actividades utiliza diferentes sistemas operativos tales como, WINDOWS 2008 y 2012 SERVER, WINDOWS 7 y versiones en adelante, en tal sentido es importante establecer controles de seguridad para Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 14 de 23

15 A 12.7 CONTROLES DE AUDITORIAS DE SISTEMAS DE INFORMACIÓN A 12.7 CONTROLES DE AUDITORIAS DE SISTEMAS DE INFORMACIÓN A. 13 SEGURIDAD DE LAS COMUNICACIONES A 13.1 GESTIÓN DE LA SEGURIDAD DE LAS REDES A CONTROLES DE REDES A SEGURIDAD DE LOS SERVICIOS DE RED 70 SI 71 SI 72 SI garantizar la protección, control y correcta operación de los sistemas operativos. La compañía cuenta con sistemas operativos que pueden ser objeto de auditoria de seguridad de la información, por lo tanto es importante establecer controles de seguridad que garanticen un adecuado uso de las herramientas de auditoria y minimizar la interrupción de los sistemas durante el proceso. La organización para el desarrollo de sus actividades de Interventoría y Consultoría cuenta con una red LAN única sobre que la desarrollan todas las aplicaciones ejecutadas por los usuarios, por lo anterior es importante establecer controles de seguridad para asegurar la información en la red, protegerla de amenazas y garantizar su infraestructura de soporte. A 13.2 TRANSFERENCIA DE INFORMACIÓN A SEPARACIÓN EN LAS REDES A POLÍTICAS Y PROCEDIMIENTOS DE TRASNFERENCIA DE INFORMACIÓN A ACUERDOS SOBRE TRASNFERENCIA DE INFORMACIÓN 73 NO 74 SI 75 SI La organización no considera necesario este control para la protección de su información. Dentro del desarrollo normal de las actividades de la compañía se presentan actividades de intercambio de información con clientes, colaboradores, entre otros como parte del desarrollo de los proyectos, por lo cual es importante establecer controles de seguridad para asegurar que se cumplen las políticas y procedimientos Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 15 de 23

16 A MENSAJERIA ELECTRÓNICA A ACUERDOS DE CONFIDENCIALIDAD O DE NO DIVULGACIÓN 76 SI 77 SI de la empresa para el intercambio de información y para garantizar que no se presente uso inadecuado o corrupción cuando la información sale fuera de las instalaciones de la organización. La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de responsabilidades para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. A.14 ADQUISICIÓN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS A 14.1 REQUISITOS DE SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN A ÁNALISIS Y ESPECIFICACIÓN DE REQUISITOS DE SI A SEGURIDAD DE SERVICIOS DE LAS APLICACIONES EN REDES PÚBLICAS 78 SI 79 SI La compañía desarrolla actividades de Consultoría e Interventoría para los cuales utiliza herramientas ofimáticas y tecnológicas, en tal sentido es necesario establecer controles de seguridad para garantizar que tienen en cuenta los requisitos del negocio antes de implementar cambios en la tecnología de la empresa. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 16 de 23

17 A 14.2 CONTROL DE ACCESO AL SISTEMA OPERATIVO A PROTECCIÓN DE TRANSACCIONES DE LOS SERVICIOS DE LAS APLICACIONES A POLÍTICA DE DESARROLLO SEGURO A PROCEDIMIENTO DE CONTROL DE CAMBIOS EN SISTEMAS A REVISIÓN TÉCNICAS DE LAS APLICACIONES DESPUES DE CAMBIOS EN LA PLATAFORMA DE OPERACIÓN A RESTRICCIONES EN LOS CAMBIOS A LOS PAQUETES DE SOFTWARE A PRINCIPIOS DE CONSTRUCCIÓN DE LOS SISTEMAS SEGUROS 80 SI 81 SI 82 SI 83 SI 84 SI 85 SI La organización desarrolla actividades a través de diferentes aplicaciones por lo cual es necesario aplicar los controles de seguridad tales como llaves o encriptación para los sistemas de información de los proyectos. La organización para el desarrollo de actividades de los proyectos puede establecer sistemas de información, por lo cual es necesario establecer controles de seguridad para el desarrollo seguro de sistemas de información por terceros, que permitan garantizar que cumplen con las características técnicas y de seguridad que se requiere. La compañía para el desarrollo de sus actividades de Interventoría y consultoría utiliza herramientas ofimáticas y tecnológicas, con las cuales interactúan permanentemente el personal a través de los equipos asignados para su labor, en tal sentido es necesario establecer controles de seguridad que garanticen que todos los cambios se controlan, revisan y someten a pruebas para no comprometer la seguridad del sistema ni el entorno operativo y también evitar así la fuga de información. La compañía a través de la política de desarrollo de terceros establece y exige los lineamientos y buenas prácticas para el desarrollo y construcción de sistemas de información seguros. A AMBIENTE DE DESARROLLO SEGURO 86 NO La organización no considera necesario este control para la protección de su información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 17 de 23

18 A 14.3 DATOS DE PRUEBA A DESARROLLO CONTRATADO EXTERNAMENTE A PRUEBAS DE SEGURIDAD DE SISTEMAS A PRUEBAS DE ACEPTACIÓN DE SISTEMAS A.15 RELACIONES CON LOS PROVEEDORES 87 SI 88 NO 89 SI A PROTECCIÓN DE DATOS DE PRUEBA 90 SI La organización requiere para algunas de las actividades de Interventoría y Consultoría el desarrollo de software contratado externamente, por lo tanto se deben establecer controles de seguridad para proteger el acceso al código fuente de los sistemas de información, para evitar su alteración o uso malintencionado. La organización no considera necesario este control para la protección de su información. La compañía válida los nuevos sistemas de información en un servidor de prueba antes de ser puestos a producción. Además está establecido en la política de desarrollo por terceros los criterios y pruebas de aceptación para los nuevos sistemas de información que adquiera la compañía. La organización realiza pruebas a los sistemas de información con datos no válidos. Además está establecido en la política de desarrollo por terceros los criterios y pruebas de aceptación para los nuevos sistemas de información que adquiera la compañía. A RELACIONES CON LOS PROVEEDORES A SEGURIDAD DE LA INFORMACIÓN EN LAS RELACIONES CON LOS PROVEEDORES 91 SI La compañía desarrolla actividades de Consultoría e Interventoría para los cuales requiere realizar diferentes tipos de compras, en tal sentido es necesario establecer controles de seguridad para Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 18 de 23

19 A 15.2 GESTIÓN DE LA PRESENTACIÓN DE SERVICIOS DE PROVEEDORES A TRATAMIENTO DE LA SEGURIDAD DENTRO DE LOS ACUERDOS CON PROVEEDORES A CADENA DE SUMINISTRO DE TECNOLOGÍA DE INFORMACIÓN Y COMUNICACIÓN A SEGUIMIENTO Y REVISIÓN DE LOS SERVICIOS DE LOS PROVEEDORES 92 SI 93 SI 94 SI A GESTIÓN DE CAMBIOS EN LOS SERVICIOS DE LOS PROVEEDORES 95 SI A.16 GESTION DE INCIDENTES DE SEGURIDAD DE LA INFORMACION A 16.1 GESTION DE INCIDENTES Y MEJORAS EN LA SEGURIDAD DE LA INFORMACIÓN A RESPONSABILIDADES Y PROCEDIMIENTOS 96 SI garantizar que tienen en cuenta los requisitos del negocio antes de gestionar compras de bienes o servicios que afecten la seguridad de la información de la organización y la infraestructura que sobre la cual esta soportada. La organización requiere para algunos de sus proyectos el desarrollo de sistemas de información, por lo cual al momento de contratarlos exige el cumplimiento de las buenas prácticas y cumplimiento de las políticas de la organización para su desarrollo. La compañía desarrolla actividades de Consultoría e Interventoría para los cuales requiere realizar diferentes tipos de compras, en tal sentido es necesario establecer controles de seguridad para garantizar que tienen en cuenta los requisitos del negocio antes de gestionar compras que de bienes o servicios que afecten la seguridad de la información e la organización y la infraestructura que sobre la cual esta soportada. La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 19 de 23

20 A REPORTE DE EVENTOS DE A REPORTE DE DEBILIDADES DE A EVALUACIÓN DE EVENTOS DE Y DECISIONES SOBRE ELLOS 97 SI 98 SI 99 SI especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. La compañía tiene 12 grupos de activos de información a los que se les ha realizado su respectivo análisis, evaluación y tratamiento del riesgo, los cuales pueden ser objeto de incidentes de seguridad de la información, por lo cual es importante establecer controles que aseguren que los eventos y debilidades de seguridad de la información son comunicados oportunamente a través de los canales de gestión apropiados al área de seguridad de la información para su respectiva gestión tan pronto como sea posible. A 17.1 CONTINUIDAD EN SEGURIDAD DE LA INFORMACIÓN A RESPUESTA A INCIDENTES DE SEGUIRIDAD DE LA INFORMACIÓN A APRENDIZAJE OBTENIDO DE LOS INCIDENTES DE SEGURIDAD DE LA INFORMACIÓN A RECOLECCIÓN DE EVIDENCIA 100 SI 101 SI 102 SI La compañía tiene 12 grupos de activos de información los cuales pueden ser objeto de incidentes de seguridad de la información y deben ser analizados por el personal designado por la gerencia para identificar acciones de mejora, en tal sentido es necesario establecer controles de seguridad para garantizar un manejo eficaz y consistente de los incidentes de seguridad de la información. A.17 ASPECTOS DE SEGURIDAD DE LA INFORMACION DE LA GESTION DE CONTINUIDAD DE NEGOCIO A PLANIFICACIÓN DE LA CONTINUIDAD DE LA SEGURIDAD DE LA INFORMACIÓN 103 SI A IMPLEMENTACIÓN DE LA 104 SI La compañía como empresa está comprometida con sus clientes a través de los contratos de los proyectos a garantizar el cumplimiento total del objeto de estos, en tal sentido ante cualquier interrupción en las actividades del negocio por fallas Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 20 de 23

21 A 17.2 REDUNDANCIAS A 18.1 CUMPLIMIENTO DE REQUISITOS LEGALES Y CONTRACTUALES A. 18 CUMPLIMIENTO CONTINUIDAD DE LA SI A VERIFICACIÓN, REVISIÓN Y EVALUACIÓN DE LA CONTINUIDAD DE LA SI A DISPONIBILIDAD DE INSTALACIONES DE PROCESAMIENTO DE INFORMACIÓN A IDENTIFICACIÓN DE LA LEGISLACIÓN APLICABLE Y DE LOS REQUISITOS CONTRACTUALES. A DERECHOS DE PROPIEDAD INTELECTUAL A PROTECCIÓN DE REGISTROS A PRIVACIDAD Y PROTECCIÓN DE INFORMACIÓN DE DATOS PERSONALES A REGLAMENTACIÓN DE CONTROLES CRIPTOGRÁFICOS 105 SI 106 SI 107 SI 108 SI 109 SI 110 SI 111 SI tecnológicas importantes o desastres, la empresa debe contar una gestión de continuidad del negocio que permita minimizar el impacto generado en su capacidad de ejecución de los proyectos, por lo anterior es necesario establecer controles para asegurar una adecuada gestión de continuidad del negocio. La organización cuenta con equipos de respaldo para aquellos servicios críticos, como firewall e internet, entre otros para garantizar la disponibilidad de las instalaciones de procesamiento de información. La organización desarrolla sus actividades de Interventoría y Consultoría en el marco del cumplimiento de la legislación Colombiana, los requisitos contractuales y los propios, en tal sentido es importante establecer controles de seguridad que garanticen el cumplimiento de todos los requisitos legales, contractuales y propios. La organización para los sistemas de información que se manejan en los diferentes proyectos debe establecer controles criptográficos con el objetivo de garantizar la confidencialidad e integridad de la información. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 21 de 23

22 A 18.2 REVISIONES DE SEGURIDAD DE LA INFORMACIÓN INSTALACIÓN DE EXTINTORES CIRCUITO CERRADO DE TELEVISIÓN ALARMA CONTRA INTRUSOS USO DE CARNET A REVISIÓN INDEPENDIENTE DE LA A CUMPLIMIENTO CON LAS POLÍTICAS Y NORMAS DE SEGURIDAD 113 A REVISIÓN DEL CUMPLIMIENTO TÉCNICO 112 SI SI 114 SI CONTROLES OPERATIVOS La organización mediante su política de seguridad de la información establece su compromiso, organización y asignación de para su cumplimiento, de igual forma vela por mantener protegido sus activos de información mediante la revisión del sistema de gestión de seguridad de la información, la firma de los acuerdos de confidencialidad, manteniendo contacto con las autoridades y con grupos de interés especiales, y la revisión independiente de seguridad de la información, por lo anterior es importante establecer controles para la organización interna de seguridad de la información. El personal de la organización interactúa permanentemente con los activos de información para los cuales se han diseñado políticas y controles en materia de seguridad de la información, en tal sentido es importante establecer controles de seguridad que garanticen que todo el personal de la empresa conoce y aplica las políticas de seguridad de la información y los respectivos controles. Es necesario establecer controles para proteger la infraestructura física de la compañía en los casos de fuego. Es necesario establecer controles para proteger los activos de información ante accesos no autorizados. Es necesario establecer controles para proteger la infraestructura física de la compañía contra robo. Es necesario establecer controles para proteger los activos de información ante acceso no autorizados. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 22 de 23

23 COLABORADOR PAR DE FUNCIONES BRIGADA DE EMERGENCIA CONTROL DE INGRESO Y SALIDA DE VISITANTES CONTROL DE HORARIO NO LABORAL DE COLABORADORES. Es necesario establecer controles para mitigar el riesgo de perdida de información cuando un colaborador no se encuentra disponible para desarrollar actividad importante para la compañía. Es necesario establecer controles para asegurar que en casos de emergencia se cuente con personal capacitado que permita proteger a todos los colaboradores de la compañía. Es necesario establecer controles para proteger los activos de información ante acceso no autorizados. Es necesario establecer controles para proteger los activos de información ante acceso no autorizado. Versión No. 6 VIGENTE DESDE EL 15 DE ENERO DE 2015 Página 23 de 23

Guía: Controles de Seguridad y Privacidad de la Información

Guía: Controles de Seguridad y Privacidad de la Información Guía: Controles de Seguridad y Privacidad de la Información Guía Técnica HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 1.0.0 15/12/2010 Versión inicial del documento 2.0.0 30/09/2011 Restructuración de forma

Más detalles

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica

ANEXO A. (Normativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA. Tabla A.1. Objetivos de control y controles. Aplica. aplica ANEO A (rmativo) OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA Tabla A.1. Objetivos de control y controles A.5 POLÍTICAS DE LA SEGURIDAD DE LA INFORMACIÓN A.5.1 Orientación de la dirección para la gestión

Más detalles

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458

ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 ISO 27001- Anexo A OBJETIVOS DE CONTROL Y CONTROLES DE REFERENCIA DANIELA RAMIREZ PEÑARANDA 1150453 WENDY CARRASCAL VILLAMIZAR 1150458 UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SEGURIDAD

Más detalles

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan)

Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) Lista de verificación norma ISO 17799 (Realizada con base en la lista de chequeo del instituto SANS, la cual fue elaborada por Val Thiagarajan) 3. Política de seguridad 3.1. Política de seguridad de la

Más detalles

Resumen Norma ISO-27001.

Resumen Norma ISO-27001. Resumen Norma ISO-27001. Introducción: generalidades e introducción al método PDCA. Objeto y campo de aplicación: se especifica el objetivo, la aplicación y el tratamiento de exclusiones. Normas para consulta:

Más detalles

Políticas de Seguridad

Políticas de Seguridad Políticas de Seguridad IRAM-ISO/IEC 17799 Código de práctica para la gestión de la seguridad de la información Serie ISO 27000 1 Introducción Qué es la seguridad de la información? Preservación de: Confidencialidad

Más detalles

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información

Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC

Más detalles

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2 Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...

Más detalles

ESCUELA POLITECNICA NACIONAL

ESCUELA POLITECNICA NACIONAL 1 de 19 Tecnologías de la Información Técnicas de seguridad Sistemas de Gestión de la Seguridad de la Información Requisitos Objetivo Revisar los aspectos importantes sobre la norma ISO/EIC 27001 para

Más detalles

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES

MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES MEMORIA PLAN DE IMPLEMENTACIÓN DE LA ISO/IEC 27001: 2005 PRESENTADO POR: CAREM GYSSELL NIETO GARCÍA TUTOR ASIGNADO: ANTONIO JOSE SEGOVIA HENARES UNIVERSIDAD OBERTA DE CATALUNYA MASTER INTERINSTITUCIONAL

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro

Más detalles

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad)

WHITE PAPER. Cumplimiento de Aranda 360 ENDPOINT SECURITY con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) con la Norma ISO/IEC 27001 (Tecnología de la Información Técnicas de Seguridad) Abril 2008 TABLA DE CONTENIDO INTRODUCCIÓN. 3 ARANDA 360 ENDPOINT SECURITY & LA NORMA ISO / IEC 27001. 4 www.arandasoft.com

Más detalles

Dominio 2. Organización de la Seguridad

Dominio 2. Organización de la Seguridad Dominio 2 Organización de la Seguridad 54 Dominio 2: ORGANIZACION DE LA SEGURIDAD Infraestructura de seguridad de la información: Debe establecerse un marco gerencial iniciar y controlar la implementación.

Más detalles

Norma Técnica Peruana:

Norma Técnica Peruana: Norma Técnica Peruana: NTP ISO/IEC 17799:2004 EDI. TECNOLOGIA DE LA INFORMACIÓN. CODIGO DE BUENAS PRACTICAS PARA LA GESTION DE LA SEGURIDAD DE LA INFORMACION. 1ª EDICIÓN ANTECEDENTES De conformidad con

Más detalles

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control

ISO/IEC 27002 CoBIT v.4 Dominio Objetivo de Control Dominio Objetivo de Control UEM - MUSTIC Módulo : Profesor: Seguridad de las personas Marcos Gómez Hidalgo Mapeo entre dimensiones y objetivos de control de ISO/IEC 700 y CoBIT versión 4. ISO/IEC 700 CoBIT v.4. Política de seguridad.1

Más detalles

La seguridad según Batman

La seguridad según Batman La seguridad según Batman Plans are nothing; planning is everything. Dwight D. Eisenhower NMX- I- 27001- NYCE:2009 ISO/IEC 27002:2005. Dominios (11), ObjeHvos de control (39) y Controles (133) 5. POLÍTICA

Más detalles

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas

Más detalles

MANUAL DE SEGURIDAD DE LA INFORMACIÓN

MANUAL DE SEGURIDAD DE LA INFORMACIÓN MANUAL DE SEGURIDAD DE LA INFORMACIÓN MINISTERIO DE AMBIENTE Y DESARROLLO SOSTENIBLE Bogotá D.C. Página 1 de 19 Contenido 1. INTRODUCCIÓN... 4 1. OBJETIVO... 4 2. ALCANCE DEL SISTEMA DE GESTIÓN DE SEGURIDAD

Más detalles

ISO27002.es PATROCINADO POR:

ISO27002.es PATROCINADO POR: ISO/IEC 27002:2013. 14 DOMINIOS, 35 OBJETIVOS DE CONTROL Y 114 CONTROLES 5. POLÍTICAS DE SEGURIDAD. 5.1 Directrices de la Dirección en seguridad de la información. 5.1.1 Conjunto de políticas para la seguridad

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN - ABRIL DE 2013 ÍNDICE 1. INTRODUCCIÓN 2. TÉRMINOS Y DEFINICIONES 2.1.Seguridad de la Información 2.2.Información 2.3.Sistema de Información 2.4.Tecnología de la

Más detalles

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC Titulación certificada por EUROINNOVA BUSINESS SCHOOL Técnico Profesional en Sistema de Gestión de Seguridad de la Información

Más detalles

Políticas de Seguridad de la información

Políticas de Seguridad de la información 2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.

Más detalles

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Gerencia General POLÍTICA DE CONTINUIDAD DE NEGOCIO Y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Aprobadas por la Junta Directiva de RECOPE, en el Artículo #4, de la Sesión Ordinaria #4868-74, celebrada el

Más detalles

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83

Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 Norma Técnica Sobre Seguridad y Confidencialidad del Documento Electrónico Decreto Supremo N 83 1 Ámbito de Aplicación El Decreto Supremo N 83 establece las características mínimas obligatorias de seguridad

Más detalles

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02

ISO/IEC 27001. Normativa de seguridad IT. Hechos. Numero 2013/02 05/01/2013 Ingelan 934 302 989 Numero 2013/02 ISO/IEC 27001 Normativa de seguridad IT ISO/IEC 27001 (Information technology Information Security Management Systems Requirements) es una normativa estándar

Más detalles

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE

INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE SISTEMA DE GESTIÓN DE LA CALIDAD INSTRUCTIVO NORMAS DE MANEJO DEL SOFTWARE Código: I-INF-04 Versión 2 22 de Abril de 2014 Bogotá, D.C., 03 de Noviembre de 2009 Código: I-INF-04 Versión: 2 Página 2 de 6

Más detalles

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED

PROCEDIMIENTO DE ADMINISTRACIÓN DE LA SEGURIDAD EN LA RED 1. OBJETIVO Establecer el procedimiento para la administración de la seguridad en la que asegure su protección efectiva contra ataques y permita cumplir los requisitos de confidencialidad, integridad y

Más detalles

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN

POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN PÁGINA Nº1 POLÍTICA DE DESARROLLO, MANTENCIÓN Y ADQUISICIÓN DE SISTEMAS DE INFORMACIÓN Versión 1.0 MINISTERIO DE OBRAS PÚBLICAS ELABORADO POR: Dirección General de Obras Públicas FECHA: 9/09/2012 REVISADO

Más detalles

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC

Taller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones

Más detalles

Trabajo final de Máster

Trabajo final de Máster MÁSTER INTERUNIVERSITARIO EN SEGURIDAD DE LAS TIC Trabajo final de Máster Actualización del Sistema de Gestión de Seguridad de la Información de una empresa a la norma ISO/IEC Fase 5 Auditoria de cumplimiento

Más detalles

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica

Más detalles

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA

POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código: 2-00-002-001POL-09 Versión:3 Página 1 de 36 POLÍTICA DE SEGURIDAD DE TIC DEL MINISTERIO DE HACIENDA Código de documento: 2-00-002-001POL-09 Aprobado por Licda. Gabriela Espinoza Meza Fecha aprobación:

Más detalles

En el artículo del mes pasado,

En el artículo del mes pasado, 144 UNE ISO/IEC 27001: 2005 & LOPD (II) EN ESTE NÚMERO PRESENTAMOS LA TABLA COMPLETA, EN LA CUAL SE RELACIONAN TODOS LOS S DE ESTE NUEVO REGLAMENTO Alejandro Corletti DIRECTOR DIVISIÓN SEGURIDAD INFORMÁTICA

Más detalles

PROCEDIMIENTO PARA LA GESTIÓN DE RECURSOS FÍSICOS

PROCEDIMIENTO PARA LA GESTIÓN DE RECURSOS FÍSICOS RESPONSABILIDAD Y AUTORIDAD FECHA FIRMA REVISADO POR: LEIDA MARIA RAMIREZ GIL Subgerente General APROBADO POR: GERARDO GARCIA LONDOÑO Gerente General 09/01/2015 09/01/2015 VERSIÓN Nº 8 VIGENTE DESDE EL

Más detalles

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S

NORMATIVA. Políticas de Seguridad de Información de PDVSA Normativa 20/09/06 USO GENERAL. v-1.0 S/S Nom bre del Políticas de Seguridad de Información Normativa EMISIÓN CLASIFICACIÓN SERIAL Nº 20/09/06 USO GENERAL NORMATIVA S/S 1/39 INTRODUCCIÓN Las normas que integran las Políticas de Seguridad de Información

Más detalles

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica

Guía de indicadores de la gestión para la seguridad de la información. Guía Técnica Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por

Más detalles

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el

Más detalles

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA

MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...

Más detalles

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de

Más detalles

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,

Más detalles

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD

CURSO DE ESQUEMA NACIONAL DE SEGURIDAD CURSO DE ESQUEMA NACIONAL DE SEGURIDAD Objetivos Generales Al finalizar este curso el alumno será capaz de: Comprender los principios básicos recogidos en el Esquema Nacional de Seguridad (ENS). Conocer

Más detalles

POLITICA DE SEGURIDAD

POLITICA DE SEGURIDAD POLITICA DE SEGURIDAD ALCANCE DE LAS POLÍTICAS Las políticas definidas el presente documento aplican a todos los funcionarios públicos, contratistas y pasantes de la Corporación Para el Desarrollo Sostenible

Más detalles

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR

MANUAL DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR INSTITUTO COLOMBIANO DE CRÉDITO EDUCATIVO Y ESTUDIOS TÉCNICOS EN EL EXTERIOR Octubre 2014 Página: 2 de 73 Contenido 1. INTRODUCCION... 7 2. OBJETIVO... 7 3. ALCANCE... 7 4. DEFINICIONES... 8 5. POLÍTICA

Más detalles

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN

POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN POLITICA GENERAL DE SEGURIDAD DE LA INFORMACIÓN Política Corporativa de Seguridad de la Información En ICETEX la información es un activo fundamental para la prestación de sus servicios y la toma de decisiones

Más detalles

6 - Aspectos Organizativos para la Seguridad

6 - Aspectos Organizativos para la Seguridad Auditorría de Sistemas: SIS-303 Universidad Católica Boliviana Docente Ph.D. Indira Rita Guzman de Galvez ISO 17799 6 - Aspectos Organizativos para la Seguridad Resumen Por: Edwin Marcelo Guzman Bueso

Más detalles

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA

12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER Libertad y POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN DEL INCODER Orden Contenido 1 INTRODUCCIÓN... 4 1.1 Objetivo... 4 1.2 Términos y definiciones... 4 1.3 Alcance... 5 1.4 Estructura de la política... 5

Más detalles

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA

MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA MUNICIPIO DE SANTIAGO DE CALI SECRETARIA DE SALUD PUBLICA POLITICA DE SEGURIDAD DE LOS SISTEMAS DE INFORMACION Decreto 411.0.20.0563 de Sep 9 de 2010 AREA DE SISTEMAS Abril 2012 INTRODUCCION La información

Más detalles

iso27002.es - El Anexo de ISO 27001 en español

iso27002.es - El Anexo de ISO 27001 en español ISO 27002 Site Home» ISO 27002 ISO 27002 Powered by: ISO 27002 05. Política de Seguridad 06. Organización de la Seguridad de Información 07. Gestión de Activos 08. Seguridad ligada a los Recursos Humanos

Más detalles

Gestión de Seguridad Informática

Gestión de Seguridad Informática Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita

Más detalles

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.

TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1

Más detalles

Información. Ing. Max Lazaro. Electrónico e Informática

Información. Ing. Max Lazaro. Electrónico e Informática Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse

Más detalles

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN CORREO URUGUAYO Administración Nacional de Correos del Uruguay Unidad de Servicios Electrónicos POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN Versión: 1.0 Marzo de 2013 Índice Mantenimiento y Aprobación de esta

Más detalles

BOLETÍN OFICIAL DEL ESTADO

BOLETÍN OFICIAL DEL ESTADO Núm. 55 Miércoles 5 de marzo de 2014 Sec. III. Pág. 21241 III. OTRAS DISPOSICIONES MINISTERIO DE SANIDAD, SERVICIOS SOCIALES E IGUALDAD 2378 Orden SSI/321/2014, de 26 de febrero, por la que se aprueba

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-003 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SEGURIDAD

Más detalles

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO POLITICA NÚM. TIG-004 FECHA DE EFECTIVIDAD: 15 de diciembre de 2004 FECHA DE REVISIÓN: 12 de septiembre de 2007 TEMA: SERVICIOS

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la Subsecretaría

Más detalles

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA

BANCO CENTRAL DE LA REPÚBLICA ARGENTINA A LAS ENTIDADES CAMBIARIAS: BANCO CENTRAL DE LA REPÚBLICA ARGENTINA 2004 - Año de la Antártida Argentina COMUNICACIÓN A 4192 Ref.: Circular CONAU 1-670 Requisitos Operativos Mínimos de Tecnología y Sistemas

Más detalles

NTP - ISO/IEC 27001:2008

NTP - ISO/IEC 27001:2008 NTP - ISO/IEC 27001:2008 EDI. Tecnología de la Información. Técnicas de Seguridad. Sistemas de Gestion de Seguridad de la Información. Requisitos Enero 2014 Información Agenda? La información es un activo

Más detalles

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047

LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 LA SEGURIDAD INFORMÁTICA APLICADA A LA VALIDACIÓN DE LOS DATOS DE ENTRADA EN SOFTWARE ESPECÍFICO OLGA PATRICIA SANCHEZ CODIGO 2012270047 YEIMMY JULIETH GARZON CODIGO 2012250071 CLAUDIA MYLENA SUAREZ CODIGO

Más detalles

SOLUCIONES EN SEGURIDAD INFORMATICA

SOLUCIONES EN SEGURIDAD INFORMATICA SOLUCIONES EN SEGURIDAD INFORMATICA PLAN DE SEGURIDAD INFORMATICA ASESORIA SERVICIOS DE SEGURIDAD INFORMATICA Debido a la necesidad de las organizaciones para comunicarse con proveedores, clientes, empleados

Más detalles

POLITICAS DE USO ACEPTABLE

POLITICAS DE USO ACEPTABLE PODER EJECUTIVO DE LA PROVINCIA DE CATAMARCA CORREO ELECTRÓNICO CON DOMINIO OFICIAL catamarca.gov.ar INTRODUCCIÓN POLITICAS DE USO ACEPTABLE El Poder Ejecutivo Provincial, a través de la, organismo dependiente

Más detalles

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO

INSTITUTO ECUATORIANO DE NORMALIZACIÓN. Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 EXTRACTO INSTITUTO ECUATORIANO DE NORMALIZACIÓN Quito - Ecuador NORMA TÉCNICA ECUATORIANA NTE INEN-ISO/IEC 27002:2009 NÚMERO DE REFERENCIA ISO/IEC 27002:2005 (E) TECNOLOGÍA DE LA INFORMACIÓN - TÉCNICAS DE LA SEGURIDAD

Más detalles

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A.

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN CORPAC S.A. CORPORACIÓN PERUANA DE AEROPUERTOS Y AVIACIÓN COMERCIAL SA POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN EN Elaborado y Visado Comité de Gestión de Seguridad de la Información Revisado Gerencia de Tecnología

Más detalles

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1 A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia

Más detalles

ISO 27001 Un sistema de gestión de la Seguridad de la Información

ISO 27001 Un sistema de gestión de la Seguridad de la Información ISO 27001 Un sistema de gestión de la Seguridad de la Información Guión! Qué es la norma ISO 27001?! Necesito ISO 27001?! Por dónde debo empezar?! La visión oficial: cómo debo implantar la norma en mi

Más detalles

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01

PROCEDIMIENTO GESTIÓN DE LOS INCIDENTES DE LA SEGURIDAD DE LA INFORMACIÓN SGSI-P01 LA RESPONSABILIDAD Y AUTORIDAD REVISADO POR: Claudia Paez Coordinadora del Sistema de Gestión Integral APROBADO POR: Jairo Martínez Gerente de ITS FECHA 30/10/2014 30/10/2014 VERSIÓN No. 5 VIGENTE DESDE

Más detalles

ANEXO H DECLARACIÓN DE APLICABILIDAD

ANEXO H DECLARACIÓN DE APLICABILIDAD ANEXO H DECLARACIÓN DE APLICABILIDAD La presente declaración que son relevantes para el SGSI de la organización y aplicables al mismo. Adicionalmente en ella se encuentran justificada la eclusión de algunos

Más detalles

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MANUAL SGSI SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN 1 TABLA DE CONTENIDO 1. OBJETIVO... 3 2. PRESENTACIÓN DE LA EMPRESA... 3 3. ALCANCE... 4 4. POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 5 4.1

Más detalles

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad

Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Estrategia de Seguridad del Ayuntamiento de Pozuelo de Alarcón para el cumplimiento del Esquema Nacional de Seguridad Presentación de Pozuelo de Alarcón Presentación de Pozuelo de Alarcón Presentación

Más detalles

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA

Más detalles

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION

SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION ALCALDÍA MAYOR DE BOGOTÁ D.C. Secretaría Distrital INTEGRACIÓN SOCIAL SECRETARIA DISTRITAL DE INTEGRACION SOCIAL SUBDIRECCION DE INVESTIGACION E INFORMACION LINEAMIENTOS DE SEGURIDAD INFORMATICA SDIS Bogotá,

Más detalles

Nomenclador de cargos

Nomenclador de cargos Nomenclador de cargos ROLES Áreas de I T Definición de módulos y roles Versión: 1.0 Pagina 1 Módulos interactuantes en un área de IT 1. Infraestructura Tecnológica 2. Producción de Software 3. Asistencia

Más detalles

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA

RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA RECOMENDACIONES PARA SOFTWARE E INFRAESTRUCTURA SEGURA Rodrigo Ferrer CISSP rodrigo.ferrer@sisteseg.com Bogotá Colombia www.sisteseg.com El objetivo primordial de la elaboración de este documento, se relaciona

Más detalles

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones:

Definiciones Artículo 2º.- Para efectos de la presente norma, serán de aplicación las siguientes definiciones: Lima, 02 de abril de 2009 CIRCULAR Nº G- 140-2009 --------------------------------------------------------- Ref.: Gestión de la seguridad de la información ---------------------------------------------------------

Más detalles

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES

FICHAS DE DESCRIPCIÓN DE FUNCIONES Y COMPETENCIAS LABORALES Página 1 de 11 I. IDENTIFICACIÓN DENOMINACIÓN DEL CARGO: PROGRAMADOR DE COMPUTADOR SIGLA:PC CLASE: V GRADO: 12-14-16 NIVEL: ADMINISTRATIVO NÚMERO DE CARGOS: ÁREA: 5 JEFE INMEDIATO: 1. OFICINA DE INFORMÀTICA

Más detalles

Implantación de un SGSI

Implantación de un SGSI Implantación de un SGSI con e-pulpo ÍNDICE 1 Introducción... 3 2 SGSI y normativas... 4 2.1 La serie 27000... 4 2.1 ISO/IEC 27001 (SGSI)... 5 2.2 ISO/IEC 27002... 6 2.3 Objetivos de control y controles...

Más detalles

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES

Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Capítulo V EVALUACIÓN DE RIESGOS, AMENAZAS Y VULNERABILIDADES Con el propósito de obtener un adecuado entendimiento de la implicancia que tiene el uso de tecnología, las amenazas y vulnerabilidades, así

Más detalles

Norma de uso Navegación por Internet Ministerio del Interior N04

Norma de uso Navegación por Internet Ministerio del Interior N04 Norma de uso Navegación por Internet Ministerio del Interior N04 Introducción Propósito. Ofrecer a los usuarios una guía sobre los requerimientos mínimos que deben ser cumplidos respecto del uso y navegación

Más detalles

Auditoría de procesos con alto grado de automatización*

Auditoría de procesos con alto grado de automatización* Auditoría de procesos con alto grado de automatización* *connectedthinking PwC Agenda Ambiente tecnológico Mapeo de procesos Identificación de riesgos Identificación de controles Pruebas de controles Ambiente

Más detalles

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN

LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN LA SEGURIDAD EN LOS SISTEMAS DE INFORMACIÓN GUIA DE SEGURIDAD INFORMÁTICA PARA LA FORMACIÓN Y SENSIBILIZACIÓN DE USUARIOS FINALES POR QUÉ LA SEGURIDAD INFORMÁTICA? PORQUE SI UN SISTEMA DE INFORMACIÓN DEJA

Más detalles

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001

POSTGRADO EN GESTIÓN Y AUDITORÍA DE SISTEMAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001 Modalidad: Distancia Duración: 77 Horas Objetivos: La adecuada implantación de un Sistema de Gestión de Seguridad de la Información (SGSI) permite asegurar la continuidad del negocio, minimizar el riesgo

Más detalles

Seguridad Informática

Seguridad Informática Seguridad Informática Necesidad del Uso de Estándares IIMV Quito, Ecuador Agenda Introducción. Obstáculos para implementar Seguridad Informática Administración de la Seguridad Informática Ciclo de vida

Más detalles

Políticas de seguridad de la información. Empresa

Políticas de seguridad de la información. Empresa Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido

Más detalles

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para

Más detalles

Política de Seguridad de la Información Página 1 de 20

Política de Seguridad de la Información Página 1 de 20 Política de Seguridad de la Información Página 1 de 20 TERMINOS Y CONDICIONES DE USO Versión actual del documento: 0.0.0.11 El contenido de este texto es PRIVADO y la presente versión se considera un documento

Más detalles

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010

MINISTERIO DE HACIENDA INSTRUCTIVO SAFI N 02/2010 INSTRUCTIVO SAFI N 02/2010 ASUNTO: NORMAS PARA EL FUNCIONAMIENTO DE LA ARQUITECTURA TECNOLÓGICA DE LOS SISTEMAS DE: ADMINISTRACIÓN FINANCIERA INTEGRADO (SAFI), INFORMACIÓN DE RECURSOS HUMANOS (SIRH) E

Más detalles

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene

Más detalles

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP

POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP Biodiversidad Amazónica - BIOINFO 2013 POLÍTICA DE SEGURIDAD DE INFORMACIÓN EN EL IIAP (Aprobada en sesión Ordinaria de Directorio N 584 del 26 de Noviembre del 2013) Iquitos, Noviembre 2013 Programa de

Más detalles

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES

ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES ANEXO 12: CORRESPONDENCIA DE ESTÁNDARES - ESTRATEGIA DE GOBIERNO EN LÍNEA 2.0 Coordinación de Investigación, Políticas y Evaluación Programa Agenda de Conectividad Estrategia de Gobierno en línea República

Más detalles

Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV

Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV Funciones y obligaciones que afectan a los usuarios del fichero de Gestión Telefónica de la UPV El personal autorizado a acceder a la información de carácter personal del Fichero, realizará las funciones

Más detalles

3 POLÍTICAS DE SEGURIDAD

3 POLÍTICAS DE SEGURIDAD 3 POLÍTICAS DE SEGURIDAD 3.1 PROPÓSITO Las Políticas de Seguridad son documentos de alto nivel. Representan la filosofía y el talante del ASJ, en materia de seguridad. Es necesario, además, que las Políticas

Más detalles

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD

NORMA DE ADMINISTRACIÓN DE INCIDENTES DE SEGURIDAD NORMA DE ADMINISTRACIÓN DE RESOLUCIÓN MINISTERIAL: XXXXXX NORMA DE ADMINISTRACIÓN DE Historial de Cambios Edición Fecha Autor Cambios realizados 2 1. Objetivo Administrar y dar solución de manera efectiva

Más detalles

INTRODUCCIÓN CONTENIDO

INTRODUCCIÓN CONTENIDO Página 1 de 9 INTRODUCCIÓN El presente Documento, ha sido redactado en cumplimiento de lo dispuesto en la Ley 1581 de 2012 y el Decreto Reglamentario 1377 de 2013 el cual recoge las medidas de índole técnica

Más detalles

Código de Conducta para Proveedores de Dinero Móvil

Código de Conducta para Proveedores de Dinero Móvil Código de Conducta para Proveedores de Dinero Móvil INTEGRIDAD DE LOS SERVICIOS UN TRATO JUSTO DE LOS CLIENTES SEGURIDAD DE LA RED Y EL CANAL MÓVILES VERSIÓN 1 - NOVIEMBRE 2014 Introducción El Código de

Más detalles

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER

ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER ANALISIS Y RECOMENDACIONES ANTE LA FALLA DEL SERVIDOR PATHFINDER El GIT de Control Interno en su función de analizar y evaluar, en coordinación con las dependencias de la entidad, los criterios, métodos,

Más detalles

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA

AUTORIDAD DE SUPERVISIÓN DEL SISTEMA FINANCIERO DIRECCION DE SUPERVISION DE VALORES CUESTIONARIO ÁREA TECNOLÓGICA AUTORIDAD DE SUPERVIÓN DEL STEMA FINANCIERO DIRECCION DE SUPERVION DE VALORES CUESTIONARIO ÁREA TECLÓGICA ENTIDAD: 1. La entidad cuenta con un Plan Estratégico de Tecnologías de la Información (TI)? 2.

Más detalles

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG.

METODOLOGIA DE ANALISIS DE RIESGO. 1.1 Entrevistas. 1.2 Evaluación de Riesgo. Autor: Rodrigo Ferrer CISSP SISTESEG. METODOLOGIA DE ANALISIS DE RIESGO Autor: Rodrigo Ferrer CISSP Bogotá Colombia A continuación haremos una descripción detallada de los pasos con que cuenta nuestra metodología de análisis de riesgo, la

Más detalles

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA

PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA PROYECTO METODOLOGIA PARA LA ELABORACION DEL PLAN DE SEGURIDAD INFORMATICA Propósitos de este documento El objetivo del presente documento es establecer una metodología para la elaboración del Plan de

Más detalles

PLANES Y POLÍTICAS AREA DE SISTEMAS

PLANES Y POLÍTICAS AREA DE SISTEMAS PLANES Y POLÍTICAS AREA DE SISTEMAS ELABORACIÓN REVISIÓN APROBACIÓN Elaborado por: Revisado por: Aprobado por: Patricia Eugenia Gómez Escobar Rafael López Hoyos Rafael López Hoyos Cargo: Cargo: Secretario

Más detalles